Mit dieser FAQ-Liste wollen wir die baden-württembergischen Pflegeeinrichtungen bei der Umsetzung der Datenschutzgesetze sowie der Umstellung auf die Datenschutz-Grundverordnung unterstützen. Sie soll einen Beitrag zum Verständnis des neuen Rechts leisten.
Sollten Sie darüber hinaus eine Frage haben, welche sich nicht in der Liste findet, dann wenden Sie sich gerne an uns unter poststelle@lfdi.bwl.de.
Wenn in den FAQs von „Pflegeeinrichtungen“ die Rede ist, sind hiermit sowohl stationäre Pflegeeinrichtungen (Pflegeheime) als auch ambulante Pflegeeinrichtungen (Pflegedienste) gemeint. [1] Gelten bestimmte Regelungen etwa nur für stationäre Pflegeeinrichtungen, so wird dies im jeweiligen Kontext begrifflich klargestellt. „Betroffene Personen“ bezeichnet im Folgenden sowohl die Bewohner einer stationären Pflegeeinrichtung als auch die zu Pflegenden einer ambulanten Pflegeeinrichtung. Behandlungsvertrag bezeichnet im Folgenden sowohl den Vertrag zur stationären als auch den Vertrag zur ambulanten Versorgung.
Die FAQs beziehen sich nicht auf Pflegeeinrichtungen in kirchlicher Trägerschaft. Für kirchliche Angelegenheiten sind die kirchlichen Datenschutzbeauftragten zuständig.
[1] In § 71 Absätzen 1 und 2 Elftes Buch Sozialgesetzbuch sind ambulante und stationäre Pflegeeinrichtungen gesetzlich definiert.
Wer ist verantwortlich für die Einhaltung der datenschutzrechtlichen Bestimmungen?
Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle verantwortlich, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Artikel 4 Nr. 7 Datenschutz-Grundverordnung, § 46 Nr. 7 Bundesdatenschutzgesetz).
Wenn die Pflegeeinrichtung also selbst darüber entscheidet, „wofür“ und „wie“ die personenbezogenen Daten verarbeitet werden sollen[1], ist sie für die Einhaltung des Datenschutzes verantwortlich.
[1] so die Stellungnahme 1/2010 der Artikel-29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ in Working Paper (WP) 169, 19 f, abrufbar unter: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_de
Welche allgemeinen Datenschutzgesetze müssen Pflegeeinrichtungen beachten?
Je nachdem, wie die Pflegeeinrichtung rechtlich organisiert ist bzw. welcher Träger die Einrichtung betreibt, gelten unterschiedliche datenschutzrechtliche Regelungen:
Bei privat-rechtlicher Trägerschaft (z.B. GmbH, GmbH & Co. KG) gelten die europäische Datenschutz-Grundverordnung[1] sowie die Ergänzungen und Konkretisierungen durch das Bundesdatenschutzgesetz[2].
Bei öffentlich-rechtlicher Trägerschaft (z.B. Landkreis, Stadt, Gemeinde oder sonstige Körperschaften des öfftl. Rechts) gelten die europäische Datenschutz-Grundverordnung, sowie die Ergänzungen und Konkretisierungen durch das baden-württembergische Landesdatenschutzgesetz[3].
Bei kirchlicher bzw. diakonischer Trägerschaft gilt für Einrichtungen der evangelischen Kirche das Kirchengesetz über den Datenschutz der evangelischen Kirche, für Einrichtungen der katholischen Kirche die Anordnung über den kirchlichen Datenschutz[4].
[1] Gesetzestext der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679
[2] Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 30. Juni 2017 wurde u.a. auch das Bundesdatenschutzgesetz an die Vorschriften der Datenschutz-Grundverordnung angepasst, Gesetzestext abrufbar unter: http://www.gesetze-im-internet.de/bdsg_2018/
[3] Das neue baden-württembergische Landesdatenschutzgesetz ist am 21. Juni 2018 in Kraft getreten, Gesetzestext abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/06/LDSG-neu-GBl-2018173.pdf
[4] Nota bene hierzu auch Artikel 91 der Datenschutz-Grundverordnung
Welche besonderen Datenschutzgesetze müssen Pflegeeinrichtungen, zusätzlich zu den allgemeinen Datenschutzgesetzen, beachten?
Das hängt entscheidend davon ab, in welchem sachlichen Kontext Pflegeeinrichtungen
Daten verarbeiten. Neben den grundsätzlich zu beachtenden allgemeinen Datenschutzgesetzen, gibt es bestimmte Bereiche, in denen der Gesetzgeber besondere Regelungen für den Datenschutz vorsieht.
Übermitteln Pflegeeinrichtungen die Daten der betroffenen Personen beispielsweise an die Pflege- oder an die Krankenkasse, so müssen sie – zusätzlich zu den allgemeinen Datenschutzgesetzen – auch die besonderen Vorschriften zum Sozialdatenschutz beachten[1]: Wenn Pflegeeinrichtungen als Leistungserbringer Aufgaben der Pflege- bzw. Krankenkassen erfüllen, so gelten für den jeweiligen Bereich besondere Grundsätze der Datenverwendung; im Bereich der Pflegeversicherung sind dies die §§ 104 ff. des Elften Buches Sozialgesetzbuch, im Bereich der Krankenversicherung die §§ 294 ff. des Fünften Buches Sozialgesetzbuch.
Im Übrigen sind auch die besonderen Bestimmungen des baden-württembergischen Wohn-, Teilhabe- und Pflegegesetzes[2] sowie das auf Bundesebene geltende Wohn- und Betreuungsvertragsgesetz zu berücksichtigen. Aus dem Wohn-, Teilhabe- und Pflegegesetz ergibt sich beispielsweise, welche Mitteilungspflichten gegenüber den Heimaufsichten bestehen, die Pflicht zur Anonymisierung der Heimbegehungsberichte vor Aushang in der Einrichtung und Vorgaben zur Aufbewahrung von Unterlagen..
Ebenso regeln auch eine Vielzahl anderer Gesetze Fragen, welche mit den Datenschutzgesetzen eng zusammenhängen : Einige der wichtigsten Beispiele sind etwa die ärztliche Schweigepflicht (Berufsordnung), das Recht am eigenen Bild (§§ 22 ff. Kunsturhebergesetz[3]), beim Betreiben einer eigenen Website bestimmte Vorschriften des Telemediengesetzes[4] oder im Fall der Abrechnung von Telefonanschlüssen der Bewohner bestimmte Vorschriften des Telekommunikationsgesetzes.
[1] Einige Stimmen in der Literatur weisen darauf hin, dass aufgrund der Datenschutz-Grundverordnung die Regelungen des Sozialdatenschutzes ihren Charakter als alleinige abschließende Regelung (sog. Vollregelung) verlieren werden, so z.B. Freund/Shagdar in „Sozialdatenschutz – europäisch? Sozialdatenschutz im Lichte der Datenschutz-Grundverordnung (Teil I)“ in SGb 04.18, S. 198 sowie Weichert in Kühling/Buchner Kommentar zur Datenschutz-Grundverordnung Artikel 9 Rn. 170.
[2] Gesetzestext des baden-württembergischen Wohn-, Teilhabe-, und Pflegegesetz abrufbar unter: http://www.landesrecht-bw.de/jportal/?quelle=jlink&query=WohnteilhG+BW&psml=bsbawueprod.psml&max=true
[3] Die Frage, ob das Kunsturhebergesetz neben der Datenschutz-Grundverordnung noch anwendbar ist oder ob es vollständig von der Datenschutzgrundverordnung verdrängt wird, ist derzeit noch nicht geklärt.
[4] Unklar ist derzeit, ob die datenschutzrechtlichen Kernbereiche des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) neben der Datenschutz-Grundverordnung noch anwendbar sind; die Regelungen des TMG und TKG beruhen auf der ePrivacy-Richtlinie 2002/58/EG. Die ePrivacy-Richtlinie soll an die Datenschutz-Grundverordnung angepasst werden (Erwägungsgrund Nr. 173 Satz 2 Datenschutz-Grundverordnung) und in den Rang einer Verordnung gehoben werden, wodurch diese unmittelbare Geltung erlangen würde; dies ist allerdings noch nicht erfolgt (Stand: 20.6.2018).
Auf welcher Rechtsgrundlage dürfen Pflegeeinrichtungen Daten grundsätzlich verarbeiten?
Grundsätzlich gilt Folgendes: Verarbeiten Pflegeeinrichtungen personenbezogene Daten so bedürfen sie dafür einer normativen Rechtsgrundlage oder einer Einwilligung. Soweit Pflegeeinrichtungen Daten verarbeiten, die zum Zweck der Durchführung des Behandlungsvertrags erforderlich sind, können sie sich auf Artikel 6 Absatz 1 Buchstabe b in Verbindung mit Artikel 9 Absatz 2 Buchstabe h der Datenschutz-Grundverordnung berufen. Soweit die Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist, ergibt sich die Rechtsgrundlage aus Artikel 6 Absatz 1 Buchstabe c in Verbindung mit Artikel 9 Absatz 2 Buchstabe h der Datenschutz-Grundverordnung in Verbindung mit spezialgesetzlichen Vorschriften des Fachrechts.[1]
In Notfallsituationen, in denen die Datenverarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person erforderlich ist, können Pflegeeinrichtungen nach Artikel 6 Absatz 1 Buchstabe d in Verbindung mit Artikel 9 Absatz 2 Buchstabe c der Datenschutz-Grundverordnung die Daten verarbeiten. Nur für alle sonstigen Datenverarbeitungen, die auf keine solche gesetzliche Rechtsgrundlage gestützt werden können, benötigen die Pflegeeinrichtungen Einwilligungen.
[1] z.B. die Vorschriften über die Übermittlung bestimmter personenbezogener Daten an Dritte, insbesondere Sozialleistungsträger gem. §§ 294 ff. Fünftes Buch Sozialgesetzbuch (siehe FAQ Nr. 11) sowie die Verpflichtung zur Pflegedokumentation gem. § 113 Elftes Buch Sozialgesetzbuch.
[1] z.B. die Vorschriften über die Übermittlung bestimmter personenbezogener Daten an Dritte, insbesondere Sozialleistungsträger gem. §§ 294 ff. Fünftes Buch Sozialgesetzbuch (siehe FAQ Nr. 11) sowie die Verpflichtung zur Pflegedokumentation gem. § 113 Elftes Buch Sozialgesetzbuch.
Welche Daten dürfen Pflegeeinrichtungen im Behandlungsvertrag von den betroffenen Personen erfragen, welche nicht?
Im Zusammenhang mit dem Abschluss eines Behandlungsvertrags dürfen Pflegeeinrichtungen Stammdaten wie den vollständigen Namen der betroffenen Person, ihr Geburtsdatum oder Angaben zur Kranken- und Pflegeversicherung erfragen. Auch dürfen die Pflegeeinrichtungen z.B. ein ärztliches Zeugnis zur Bestätigung fordern, dass keine ansteckende Lungentuberkulose vorliegt (§ 36 Absatz 4 Infektionsschutzgesetz).
Im Übrigen kommt es darauf an: Grundsätzlich gilt, dass eine Pflegeeinrichtung nur solche personenbezogenen Daten erfragen darf, welche für die Erfüllung der im Behandlungsvertrag festgelegten Leistungen tatsächlich erforderlich sind (Artikel 6 Absatz 1 Buchstabe b Datenschutz-Grundverordnung).
Entscheidend ist zunächst, welche Leistungen im Behandlungsvertrag zwischen Einrichtung und betroffener Person konkret vereinbart worden sind. Je nachdem, welche Art der Pflegeleistung – also z.B. ambulanter Pflegedienst, stationäre Pflegeleistung oder betreutes Wohnen – vereinbart worden ist, können unterschiedliche Daten erforderlich sein. Auch kommt es darauf an, ob beispielsweise erst ein Vertrag zur Vormerkung eines Heimplatzes abgeschlossen wird oder bereits der Vertrag zur konkreten Aufnahme in das Heim.
Die Verarbeitung von Sozialdaten durch Pflegeeinrichtungen ist außerdem zulässig, wenn diese stattfindet, damit die Sozialleistungsträger bei Krankheit oder Pflegebedürftigkeit ihre gesetzlich bestimmten Aufgaben erfüllen können. Welche Daten die Pflegeeinrichtungen in diesem Zusammenhang verarbeiten dürfen, ergibt sich aus den spezialgesetzlichen Regelungen des Fünften und Elften Buches Sozialgesetzbuch.
Angaben über die Höhe und Art des monatlichen Einkommens dürfen Pflegeeinrichtungen vom künftigen Bewohner nur im erforderlichen Umfang erfragen; belegen die vorgelegten Nachweise, dass der Bewohner die monatlichen Kosten aus seinen monatlichen Einnahmen bestreiten kann, so dürfen Pflegeeinrichtungen darüber hinaus nicht weitere Unterlagen anfordern, mit welchen sämtliche vorhandene Vermögenswerte erfragt werden (z.B. Immobilien, Wertpapiere) hervorgeht.
Für welche Datenverarbeitungen benötigen Pflegeeinrichtungen typischerweise Einwilligungen der betroffenen Person?
Grundsätzlich gilt, dass die Pflegeeinrichtungen immer dann eine Einwilligung für eine Verarbeitung von Daten betroffener Personen benötigen, wenn sie nicht schon durch eine gesetzliche Grundlage zu der jeweiligen Datenverarbeitung ermächtigt sind. [1]
Sofern die Verarbeitung der Daten für die Erfüllung eines mit der betroffenen Person geschlossenen Vertrags erforderlich ist, dürfen diese Daten durch die Pflegeeinrichtung verarbeitet werden, ohne dass es einer zusätzlichen Einwilligung bedarf (Artikel 6 Absatz 1 Buchstabe b Datenschutz-Grundverordnung). Dies ist regelmäßig bei Leistungen der Fall, zu welchen die Pflegeeinrichtung sich gegenüber der betroffenen Person typischerweise vertraglich verpflichtet. Typische vertragliche Leistungen einer Pflegeeinrichtung sind allgemeine Behandlungs- und Betreuungsleistungen, die Zurverfügungstellung der Unterkunft sowie der Verpflegung. Was im Einzelfall geschuldet ist, ergibt sich aus dem zwischen Pflegeeinrichtung und betroffener Person geschlossenen individuellen Behandlungsvertrag.
Handelt es sich hingegen nur um eine Datenverarbeitung im Zusammenhang mit einer Leistung, welche für die Erfüllung der vertragscharakteristischen Leistung nicht erforderlich ist, sondern lediglich dienlich oder nützlich ist,, dann ist für eine Erhebung personenbezogener Daten eine separate Einwilligung nötig. Dies wäre z.B. der Fall, wenn die Pflegeeinrichtung den Kontakt zu einer Reinigung herstellt, damit besonders zu reinigende Wäschestücke der betroffenen Person, welche namentlich gekennzeichnet sind, im Bedarfsfall an eine Textilreinigung weitergegeben werden können.
[1] siehe hierzu FAQ Nr. 10
Dürfen Pflegeeinrichtungen von den betroffenen Personen bzw. Dritten biographische Daten ohne deren Einwilligung erheben?
Nein. Pflegeeinrichtungen argumentieren oft, dass sie neben den Stammdaten[1] weitere Daten benötigen wie z.B. den Geburtsort, die Konfession, den Beruf, den ehemaligen Arbeitgeber, die Kinderzahl sowie den Familienstand, welche Rückschlüsse auf die Biographie der einzelnen betroffenen Person zulassen (sog. biographische Daten). Nur mit Kenntnis dieser biographischen Daten könnten sie der betroffenen Person eine optimale, auf ihre individuellen Bedürfnisse zugeschnittene Betreuung ermöglichen.
Diese Daten mögen allesamt hilfreich und nützlich sein, um die Qualität der Pflegeleistung zu steigern, jedoch sind diese aus datenschutzrechtlicher Sicht nicht erforderlich, um die Pflegeleistung an sich zu erbringen.[2] Daraus folgt, dass biographische Daten im Heimaufnahmevertrag oder etwa in einem Aufnahmegespräch, nur dann routinemäßig erhoben werden dürfen, wenn die betroffene Person darin einwilligt.[3] Dies kann dadurch geschehen, indem die betroffene Person z.B. in einer Passage des Vertrags oder im Gespräch deutlich darauf hingewiesen wird, dass diese Angaben freiwillig sind und im Vertragstext auch als solche gekennzeichnet werden. Wir empfehlen, an geeigneter Stelle kurz zu erläutern, warum die Pflegeeinrichtung die Kenntnis dieser zusätzlichen Daten als nützlich für die Erbringung der Pflegeleistung einstuft. Bei der Abfrage freiwilliger Daten muss die betroffene Person auch auf ihr Widerspruchsrecht hingewiesen werden.[4]
Gerade bei demenzkranken Personen werden die biographischen Daten oft von dritten Personen wie Angehörigen oder Betreuungspersonen abgefragt. In diesem Fall ist zu beachten, dass die Pflegeeinrichtung dadurch, dass sie personenbezogene Daten nicht bei der betroffenen Person direkt, sondern bei dritten Personen erhebt, bestimmte Informationspflichten gegenüber der betroffenen Person hat (Artikel 14 Datenschutz-Grundverordnung).
[1] zu Stammdaten siehe FAQ Nr. 5
[2] siehe hierzu auch S. 99 f. im 33. Datenschutz-Tätigkeitsbericht 2016/2017 des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg
[3] Aus der Vereinbarung über die Maßstäbe und Grundsätze für die Qualität und die Qualitätssicherung nach § 113 SGB IX, wonach das Dokumentationssystem in der vollstationären Pflege u.a. Aussagen beinhalten muss zu „pflegerelevanten Biografiedaten“, ergibt sich keine normative datenschutzrechtliche Erhebungsbefugnis, da diese Vereinbarung nicht den erforderlichen Charakter einer Rechtsvorschrift hat.
[4] Näheres zum datenschutzkonformen Umgang bei der Abfrage von biographischen Daten im 33. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg auf den Seiten 98 ff.
Dürfen Pflegeeinrichtungen im Behandlungsvertrag die Kontaktdaten von Angehörigen der betroffenen Person ohne deren Einwilligung erheben?
Nein. Es gilt der allgemeine datenschutzrechtliche Grundsatz, wonach Daten nur dann verarbeitet werden dürfen, wenn ein Gesetz dies erlaubt oder eine Einwilligung der betroffenen Person vorliegt.
Zwar ist die Verarbeitung von Daten erlaubt, wenn diese für die Erfüllung des Behandlungsvertrags erforderlich ist. Dieser unmittelbare sachliche Zusammenhang zwischen Behandlungsvertrag und der beabsichtigen Datenverarbeitung besteht nur im Verhältnis zwischen den Vertragspartnern, also der Pflegeeinrichtung und der betroffenen Person selbst.
Eine Ausnahme gilt für die für den Bewohner stets freiwillige Angabe einer oder mehrerer Personen, die im Notfall kontaktiert werden sollen. Insoweit ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich gem. Artikel 6 Absatz 2 Buchstabe f DS-GVO.
Welche Anforderungen muss eine Einwilligung in die Verarbeitung von Gesundheitsdaten erfüllen, um rechtmäßig zu sein?
Nach der Datenschutz-Grundverordnung ist eine Einwilligung „jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willenserklärung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ (Artikel 4 Nr. 11 Datenschutz-Grundverordnung).
Damit die betroffene Person vor Vertragsschluss ihre Entscheidung ausreichend abwägen kann, muss die Pflegeeinrichtung sie hinreichend über die inhaltliche Tragweite und die Folgen der Einwilligung aufklären.
Die Pflegeeinrichtung sollte außerdem den Zweck der Datenverarbeitung genau beschreiben. Ferner muss sie die jeweilige Rechtsgrundlage sowie die Empfänger der Daten konkret benennen (Artikel 12 Datenschutz-Grundverordnung). Um zu gewährleisten, dass die Willenserklärung tatsächlich aus freien Stücken erfolgt, ist die betroffene Person auch über die möglichen Folgen einer nicht erteilten Einwilligung aufzuklären und darüber, dass sie ohne Einwilligung keine Nachteile erleidet.[1]
Auch ist die betroffene Person darauf hinzuweisen, dass sie die erklärte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Sofern es sich bei der beabsichtigten Datenverarbeitung um Gesundheitsdaten und damit um besondere Arten personenbezogener Daten handelt (Artikel 9 Datenschutz-Grundverordnung), muss sich die Einwilligung ausdrücklich auch auf die Tatsache beziehen, dass es sich um Gesundheitsdaten, mithin um besonders sensible und schützenswerte Daten, handelt.
Nach der Datenschutz-Grundverordnung genügt zwar eine Einwilligung in mündlicher Form, jedoch muss der Verantwortliche im Streitfall nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Artikel 7 Absatz 1 Datenschutz-Grundverordnung). Daher ist es empfehlenswert, sicherheitshalber eine schriftliche Einwilligung von den betroffenen Personen einzuholen.
Aus Gründen der Transparenz und besseren Verständlichkeit empfehlen wir Einwilligungen außerhalb des Behandlungsvertrags in Form von getrennt zu unterzeichnenden einzelnen Anlagen dem Vertrag beizufügen. So wird vermieden, dass der Behandlungsvertrag und die Einwilligung in ein- und demselben Dokument unterzeichnet werden und dem Betroffenen nicht bewusst ist, dass er eine zusätzliche Einwilligungserklärung abgibt.
[1] Erwägungsgrund Nr. 42 Satz 4 Datenschutz-Grundverordnung
An welchen Stellen dürfen Pflegeeinrichtungen bereits kraft gesetzlicher Grundlage Gesundheits- bzw. Sozialdaten von betroffenen Personen übermitteln?
Grundsätzlich gilt, dass Pflegeeinrichtungen personenbezogene Daten der betroffenen Personen immer dann übermitteln dürfen, wenn ein Gesetz dies in der jeweiligen Situation ausdrücklich vorsieht. Immer dann benötigen Pflegeeinrichtungen keine separate Einwilligung zur Verarbeitung der Daten von den betroffenen Personen.
In bestimmten Situationen sind Pflegeeinrichtungen bereits aufgrund der Sozialgesetze zu einer Weitergabe von Sozialdaten an verschiedene Sozialleistungsträger (z.B. Pflege-, Kranken- oder Unfallkassen) verpflichtet: Wenn z.B. eine Pflegeeinrichtung die erbrachten Leistungen mit der Pflegekasse abrechnet, ist die Pflegeeinrichtung bereits gesetzlich dazu verpflichtet, der Pflegekasse die für diese Zwecke erforderlichen Daten zu übermitteln. Auch dem Medizinischen Dienst oder der Heimaufsicht gegenüber ist die Pflegeeinrichtung berechtigt und verpflichtet, die für die Qualitätsprüfungen erforderlichen Daten zur Verfügung zu stellen (§§ 104 ff. Elftes Buch Sozialgesetzbuch).
In Notfallsituationen ist zum Schutz von lebenswichtigen Interessen der betroffenen Person eine Datenverarbeitung von Gesundheitsdaten gesetzlich zulässig, so dass die Pflegeeinrichtung in einer Notfallsituation die Angehörigen oder das Krankenhaus über den Gesundheitszustand der betroffenen Person ggf. ohne Einwilligung informieren darf (Artikel 6 Absatz 1 Buchstabe d i.V.m. Artikel 9 Absatz 2 Buchstabe c Datenschutz-Grundverordnung).
Verstirbt der Bewohner eines Pflegeheims, so muss der Todesfall dem Standesamt gegenüber angezeigt werden (§§ 28 ff. Personenstandsgesetz).
Gegenüber der Staatsanwaltschaft und der Polizei besteht keine generelle Offenbarungsbefugnis zum Zweck der Gefahrenabwehr. Ordnet eine Sicherheitsbehörde die Offenlegung von Betroffenendaten im Einzelfall an, dann liegt hierin eine hinreichende Übermittlungsbefugnis.
Hat die betroffene Person ein Recht auf Einsichtnahme in ihre Pflegedokumentation?
Grundsätzlich ja. Das Einsichtsrecht in die Pflegedokumentation ist eine spezielle Form des allgemeinen Rechts auf Auskunft. Die betroffene Person hat ein Recht auf Auskunft, sofern berechtigte Interessen Dritter nicht entgegenstehen und die Auskunftserteilung nicht ausnahmsweise einen unverhältnismäßigen Aufwand bedeutet (Artikel 15 Datenschutz-Grundverordnung, § 27 Absatz 2, § 28 Absatz 2, § 29 Absatz 1 Satz 2, § 34 Bundesdatenschutzgesetz)[1]. Das Recht auf Einsichtnahme ergibt sich außerdem als zusätzlicher Anspruch aus dem Behandlungsvertrag.[2]
[1] Näheres hierzu im Erwägungsgrund Nr. 63 der Datenschutz-Grundverordnung
[2] Näheres hierzu im 2. Tätigkeitsbericht 2003/2004 zum Datenschutz des Freistaats Sachsen, S. 20
Dürfen Pflegeeinrichtungen der Pflegekasse in die gesamte Pflegedokumentation der betroffenen Person Einsicht gewähren?
Nein. Sie dürfen der Pflegekasse lediglich Einsicht gewähren in einen bestimmten Teil der Dokumentation, nämlich in die Abrechnungsunterlagen (sog. Leistungsnachweise). Hier dokumentieren sie die von ihnen erbrachten Leistungen in der gesetzlich vorgegebenen Art und Weise (§ 105 Elftes Buch Sozialgesetzbuch). Die Pflegeeinrichtungen sind in ihrer Eigenschaft als Leistungserbringer berechtigt und verpflichtet, der Pflegekasse die Abrechnungsunterlagen zu übermitteln, welche für die Aufgaben der Pflegekasse erforderlich sind (§ 104 Elftes Buch Sozialgesetzbuch).
Die anderen Bestandteile der Pflegedokumentation (Stammdaten, Pflegeanamnese/pflegerelevante Biographiedaten, Pflegeplanung, Pflegebericht) dürfen die Pflegeeinrichtungen der Pflegekasse nicht übermitteln. Insbesondere rechtfertigen auch die sonstigen Aufgaben der Pflegekasse wie z.B. die Wirtschaftlichkeit und Qualität der Pflegeeinrichtungen zu überwachen, nicht, die gesamte Pflegedokumentation zu übermitteln. Dies ergibt sich im Umkehrschluss aus den positiven Befugnissen der Pflegekasse (§§ 79, 112- 115, 117 Elftes Buch Sozialgesetzbuch[1]).
[1] § 79 (Wirtschaftlichkeits- und Abrechnungsprüfungen), §§ 112 ff. (Qualitätsprüfungen), § 117 SGB XI (Zusammenarbeit mit den nach heimrechtlichen Vorschriften zuständigen Aufsichtsbehörden)
Dürfen Pflegeeinrichtungen dem Medizinischen Dienst der Krankenversicherung (MDK) im Rahmen von Qualitätsprüfungen ohne Weiteres Einsicht in die Pflegedokumentation einer betroffenen Person gewähren?
Nein. Einsicht in die Pflegedokumentation darf dem Medizinischen Dienst in diesem Zusammenhang nur gewährt werden, sofern die betroffene Person zuvor eingewilligt hat (§ 114a Absatz 3 Elftes Buch Sozialgesetzbuch). Damit eine solche Einwilligung rechtmäßig ist, sind die Prüfer des Medizinischen Dienstes verpflichtet, die Personen, welche in die Qualitätsprüfung einbezogen werden sollen, vor der Prüfung in verständlicher Weise über die für die Einwilligung wesentlichen Umstände aufzuklären. Die Aufklärung muss dabei so rechtzeitig erfolgen, dass die in die Prüfung einzubeziehende Person ihre Entscheidung über die Einwilligung wohlüberlegt treffen kann. Die Einwilligung muss grundsätzlich in Textform erfolgen, nur ausnahmsweise dürfen die Prüfer des MDK unter bestimmten Umständen eine mündliche Einwilligung vom Berechtigten einholen (§ 114a Absätze 3 und 3a Elftes Buch Sozialgesetzbuch).
Dürfen die Pflegeeinrichtungen ein Foto von einer betroffenen Person in der Heimzeitung veröffentlichen ohne deren Einwilligung?
Nein. In Ermangelung eines gesetzlichen Erlaubnistatbestands[1] bedarf es in diesem Fall einer Einwilligung. Dies ergibt sich sowohl aus der Regelung des sog. „Rechts am eigenen Bild“ (§§ 22 f. Kunsturhebergesetz) als auch aus der Datenschutz-Grundverordnung (Artikel 6 Absatz 1 Buchstabe a, ggf. i.V.m. Artikel 9 Absatz 2 Buchstabe a Datenschutz-Grundverordnung).[2]
In jedem Fall empfehlen wir, für jedes Medium (Wandtafel, Heimzeitung, digitaler Bilderrahmen im Eingangsbereich, Internetseite des Heimträgers, Werbeprospekt) eine separate Einwilligung einzuholen. Wie bei jeder Einwilligung sollte an geeigneter Stelle darauf hingewiesen werden, dass die Erteilung der Einwilligung freiwillig ist sowie dass diese mit Wirkung für die Zukunft widerrufen werden kann, ohne dass der betroffenen Person hieraus nachteilige Folgen entstehen dürfen.
[1] Die Veröffentlichung eines solchen Fotos in der Heimzeitung unterfällt insbesondere nicht den Erlaubnistatbeständen des Artikel 6 Absatz 1 Satz 1 Buchstaben c, e oder f der Datenschutz-Grundverordnung.
[2] Eine Ausnahme vom Einwilligungserfordernis kann gelten für Bilder, auf denen Personen lediglich als Beiwerk einer Örtlichkeit oder als Teilnehmer einer größeren Veranstaltung abgelichtet sind. Näheres hierzu in den Hinweisen zur Auslegung der Datenschutz-Grundverordnung der Landesbeauftragten für den Datenschutz und das Recht auf Akteneinsicht Brandenburg zum Thema Verarbeitung personenbezogener Daten bei Fotografien, deren Auffassung wir uns anschließen, abrufbar unter: https://www.lda.brandenburg.de/media_fast/4055/DSGVOFotografienfinal.pdf
Darf das Pflegepersonal für die Pflegedokumentation Fotos von der Wunde der betroffenen Person anfertigen ohne deren Einwilligung?
Ja. Werden Fotografien im Rahmen der Pflegedokumentation angefertigt, ist dies bereits aufgrund gesetzlichen Erlaubnistatbestands zulässig, einer separaten Einwilligung bedarf es nicht: Die Datenverarbeitung ist zur Erfüllung rechtlicher Verpflichtungen sowie für die Wahrnehmung von Aufgaben erforderlich, welche im öffentlichen Interesse liegen (Artikel 6 Absatz 1 Buchstaben c i.V.m. Artikel 9 Absatz 2 h Datenschutz-Grundverordnung); Pflegeeinrichtungen sind aufgrund gesetzlicher Vorschriften zur Stärkung der Patientenrechte dazu verpflichtet, in der Patientenakte sämtliche für die Behandlung wesentlichen Maßnahmen und deren Ergebnisse festzuhalten. Soweit die Anfertigung eines Fotos von der Wunde in der zugrundeliegenden Situation erforderlich ist, darf dieses angefertigt werden.
Anhand der Pflegedokumentation muss die Pflegeeinrichtung den Pflegeverlauf der betroffenen Person dokumentieren. Des Weiteren dient die Pflegedokumentation als Grundlage für die Qualitätssicherung (§ 113 f. SGB Elftes Buch Sozialgesetzbuch, § 12 Absatz 1 Nr. 6 Wohn-, Teilhabe- und Pflegegesetz). Eine Dokumentation mithilfe von Fotos ist in diesen Vorschriften nicht ausgeschlossen. Sofern eine Dokumentation der Wunde durch eine Beschreibung in Textform im konkreten Fall nicht ausreicht, um die Dokumentationspflichten ausreichend und mit vertretbarem Aufwand zu erfüllen, ist die Anfertigung einer Fotografie von einer Wunde erforderlich und daher auch ohne Einwilligung der betroffenen Person zulässig.[1]
[1] In einer landesweiten internen Umfrage unter den Beauftragten für den Datenschutz im Jahr 2016 zeichnete sich diese Auffassung als überwiegende Meinung ab.
Wann müssen Pflegeeinrichtungen in öffentlich-rechtlicher Trägerschaft einen betrieblichen Datenschutzbeauftragten benennen?
Für Pflegeeinrichtungen in öffentlich-rechtlicher Trägerschaft[1], also z.B. Pflegeeinrichtungen, welche z.B. von einer Stadt, Gemeinde oder einem Landkreis als Eigenbetrieb geführt werden, ist die Benennung eines Datenschutzbeauftragten nach der Datenschutz-Grundverordnung in jedem Fall verpflichtend (Artikel 37 Absatz 1 Buchstabe a Datenschutz-Grundverordnung).
[1] Zur Abgrenzung zwischen öffentlicher und nicht-öffentliche Stelle siehe § 2 BDSG sowie § 2 Absatz 2 LDSG.
Wann müssen Pflegeeinrichtungen in privat-rechtlicher Trägerschaft einen betrieblichen Datenschutzbeauftragten benennen?
Private Pflegeeinrichtungen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, sofern ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht (Artikel 37 Absatz 1 Buchstabe b Datenschutz-Grundverordnung).
Dadurch, dass Pflegeeinrichtungen für jede betroffene Person eine Pflegedokumentation führen, verarbeiten sie regelmäßig viele Gesundheitsdaten. Gesundheitsdaten sind zudem besonders schützenswert und gehören daher auch zu den besonderen Datenkategorien (Artikel 9 Absatz 1 Datenschutz-Grundverordnung). Schon danach besteht eine Bestellpflicht.
Auch wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden (§ 38 Absatz 1 Bundesdatenschutzgesetz). Das ist regelmäßig bereits dann der Fall, wenn eine Textverarbeitung mittels PC erfolgt und auf diese Weise personenbezogene Daten erfasst werden und mehr als 10 Beschäftigte hierauf Zugriff haben. Bei sehr kleinen ambulanten Pflegediensten mit weniger als 10 Personen und einem kleinen Klientenkreis, der nicht größer ist als der einer durchschnittlichen Arztpraxis, besteht unter Umständen keine Pflicht zur Benennung eines Datenschutzbeauftragten.
Bei der Ermittlung der Beschäftigenzahlen ist Folgendes zu beachten: Betreibt der Träger der Pflegeeinrichtung noch verschiedene andere Einrichtungen (z. B. Kindertageseinrichtungen, Begegnungsstätten) oder bietet er weitere Dienstleistungen (z. B. Essen auf Rädern, Schuldnerberatung, Fahrdienst etc.) an, sind hierbei die Beschäftigten aller Geschäftsbereiche des Trägers zu berücksichtigen. Die Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten dürften somit auch bei privaten Pflegeeinrichtungen fast immer erfüllt sein.
Welche Formalia müssen Pflegeeinrichtungen bei der Benennung eines betrieblichen Datenschutzbeauftragten beachten?
Die Pflegeeinrichtung muss ihren Datenschutzbeauftragen nicht zwingend schriftlich bestellen. Eine reine „Benennung“ des Datenschutzbeauftragten ist nach der Datenschutz-Grundverordnung ausreichend. Aufgrund der in Artikel 5 Absatz 2 Datenschutz-Grundverordnung normierten Rechenschaftspflicht empfiehlt es sich jedoch, die Benennung des Datenschutzbeauftragten zu dokumentieren sowie seine Aufgaben, Zeitkontingent und andere Rahmenbedingungen schriftlich zu regeln. Das Benennungsdokument sollte von der Leitung der Pflegeeinrichtung und vom Datenschutzbeauftragten unterschrieben werden, da es sich bei der Benennung des Datenschutzbeauftragten um keine einseitige Beauftragung handelt, sondern die Zustimmung des Datenschutzbeauftragten erforderlich ist.
Die Pflegeeinrichtung ist verpflichtet, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese der Aufsichtsbehörde mitzuteilen (Artikel 37 Absatz 7 Datenschutz-Grundverordnung). Für Pflegeeinrichtungen mit Sitz in Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) zuständige Aufsichtsbehörde. Die Kontaktdaten können dem LfDI BW über ein Online-Formular mitgeteilt werden, welches Sie hier aufrufen können.
Wen können die Pflegeeinrichtungen als betrieblichen Datenschutzbeauftragten benennen?
Die Leitung der Pflegeeinrichtung darf selbst entscheiden, ob sie einen ihrer Mitarbeiter wählt, den sie zum internen Datenschutzbeauftragten bestellt, oder ob sie einen externen Datenschutzbeauftragten auswählt. Eine Einschränkung für öffentliche Pflegeeinrichtungen mit Hauptsitz in Baden-Württemberg dahingehend, dass diese grundsätzlich nur einen internen Datenschutzbeauftragten oder einen Bediensteten ihrer Aufsichtsbehörde benennen dürfen, findet sich im neuen Landesdatenschutzgesetz nicht.
In jedem Fall muss die gewählte Person persönlich und fachlich für diese Aufgabe geeignet sein. Der Geschäftsführer einer als GmbH geführten Pflegeeinrichtung wäre für die Aufgabe des Datenschutzbeauftragten aufgrund möglicher Interessenkonflikte beispielsweise nicht geeignet.
Eine Unternehmensgruppe, also z.B. ein Träger mit mehreren Einrichtungen, hat die Möglichkeit, für alle Einrichtungen einen gemeinsamen Datenschutzbeauftragten zu benennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann (Artikel 37 Absatz 2 Datenschutz-Grundverordnung).
Was müssen Pflegeeinrichtungen bei der Verarbeitung personenbezogener Daten durch externe Dienstleister beachten?
Pflegeeinrichtungen lagern oft bestimmte Tätigkeiten an ein fremdes Unternehmen aus. Typische Beispiele hierfür sind die Datenverarbeitung der Lohn- und Gehaltsabrechnung der Mitarbeiter, die Wartung der Datenverarbeitungsanlage oder auch der Einrichtungssoftware.
Die Pflegeeinrichtung muss als Verantwortliche zunächst prüfen, ob der externe Dienstleister als Auftragsverarbeiter geeignet ist (Artikel 28 Absatz 1 Datenschutz-Grundverordnung). Geeignet ist der Auftragsverarbeiter dann, wenn er ausreichende Garantien dafür bietet, dass er geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwendet (Artikel 32 Datenschutz-Grundverordnung).
Der Verantwortliche muss mit dem Auftragsverarbeiter einen Vertrag über die weisungsgebundene Tätigkeit schließen. Dieser Vertrag kann schriftlich oder in einem elektronischen Format abgefasst werden. Für den notwendigen Inhalt des Vertrags gilt in großen Teilen das Gleiche wie nach der bisherigen Rechtslage. Die bestehenden Verträge können daher fortgelten, wenn sie den Anforderungen der Datenschutz-Grundverordnung entsprechen oder darüber hinausgehen. Da der Verantwortliche für die Rechtmäßigkeit der Verarbeitung insgesamt verantwortlich ist und bleibt, ist weiterhin anzuraten, die mindestens erforderlichen technischen und organisatorischen Maßnahmen im Vertrag festzuhalten (Artikel 24 Datenschutz-Grundverordnung).[1]
[1] Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Artikel 28 Absatz 3 Datenschutz-Grundverordnung abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/01/muster_adv.pdf
Zu welchen Maßnahmen ist die Heimaufsicht Pflegeeinrichtungen gegenüber im Rahmen von Qualitätsprüfungen befugt?
Die Pflegeeinrichtungen werden von den zuständigen Behörden durch wiederkehrende oder anlassbezogene Prüfungen überwacht (§ 17 bzw. § 18 baden-württembergisches Wohn-, Teilhabe- und Pflegegesetz[1]).
Bei Qualitätsprüfungen der Pflegeeinrichtungen ist die Heimaufsicht zu einer Reihe von Maßnahmen befugt: Die von der zuständigen Behörde mit der Prüfung beauftragten Personen dürfen zu diesem Zweck von der Einrichtungsleitung mündlich oder schriftlich Auskunft verlangen, sie dürfen Ablichtungen bestimmter Aufzeichnungen verlangen und Überprüfungen und Besichtigungen vornehmen. Es verstößt nicht gegen datenschutzrechtliche Vorschriften, wenn die Heimaufsicht im Rahmen ihrer zweckgerichteten Aufgabenerfüllung von der stationären Pflegeeinrichtung zum Zweck der Überprüfung der persönlichen und fachlichen Eignung der in der Pflegeeinrichtung Beschäftigten Personallisten anfordert, welche den Klarnamen und die Qualifikation der Beschäftigten beinhalten. Persönlich ungeeignet für die von ihnen ausgeübte Tätigkeit ist insbesondere, wer wegen einer Straftat z. B. gegen das Leben oder die sexuelle Selbstbestimmung verurteilt worden ist. [2] Die Heimaufsicht darfebenfalls die für die stationäre Einrichtung genutzten Grundstücke und Räume betreten. Räume, welche dem Hausrecht der Bewohner unterliegen und der privaten Nutzung zugewiesenen Räume, dürfen nur mit deren Zustimmung betreten werden (§ 17 Absatz 4, 18 Absatz 4 baden-württembergisches Wohn-, Teilhabe-, und Pflegegesetz).
Von dem Einsichtsrecht in die Unterlagen ist auch die Pflegedokumentation mit umfasst. Jedoch ist es für die Prüfungsaufgaben durch die Heimaufsicht zumeist ausreichend, die Unterlagen in anonymisierter Form weiterzugeben.
[1] Das baden-württembergische Wohn-, Teilhabe- und Pflegegesetz unterscheidet im Hinblick auf die Befugnisse der Behörde zwischen stationären Einrichtungen und ambulant betreuten Wohngemeinschaften.
[2] Dies ergibt sich aus einer Zusammenschau aus § 10 Abs. 3 Nr. 3 WTPG i.V.m. § 4 Abs. 1 Verordnung des Sozialministeriums über personelle Anforderungen für stationäre Einrichtungen – LPersVO –
Müssen Pflegeeinrichtungen im Rahmen der Prüfung, ob sie als Pflegeeinrichtung zugelassen wird, der Pflegekasse Einsicht in die Unterlagen ihrer Mitarbeiter gewähren?
Im Rahmen des Zulassungsverfahrens prüft die Pflegekasse, ob die jeweilige Pflegeeinrichtung die Voraussetzungen für eine Zulassung erfüllt.[1] Dies setzt u.a. voraus, dass die Pflegesachleistungen unter der ständigen Verantwortung einer ausgebildeten Pflegefachkraft erbracht werden (§ 71 Elftes Buch Sozialgesetzbuch). Dies kann die Pflegeeinrichtung der Pflegekasse gegenüber nur belegen, indem sie dieser einen Nachweis über die Qualifikation der Einrichtungsleitung sowie der dort als Pflegedienstleitung beschäftigten Pflegefachkraft vorlegt. Der Nachweis wird mithilfe einer beglaubigten Berufsurkunde erbracht. Soweit die in der Personalakte befindlichen Informationen hingegen nicht nach § 104 Absatz 1 Nummer 2a Elftes Buch Sozialgesetzbuch erforderlich sind, um über die Zulassung der Pflegeeinrichtung nach § 72 Elftes Buch Sozialgesetzbuch zu entscheiden, darf keine Einsicht gewährt werden.
[1] Nach § 72 Elftes Buch Sozialgesetzbuch dürfen Pflegekassen ambulante und stationäre Pflege nur durch zugelassene Pflegeeinrichtungen gewähren, mit denen ein Versorgungsvertrag besteht.
Sind Pflegeeinrichtungen unmittelbar an das Sozialgeheimnis und die Sozialdatenschutzgesetze gebunden?
Nein. Unmittelbar gebunden an Sozialgeheimnis sind nur die in § 35 Erstes Buch Sozialgesetzbuch aufgeführten Stellen. Dies sind in erster Linie die gesetzlichen Sozialleistungsträger der Kranken-, Pflege- und Unfallversicherung und deren Verbände. Dreh- und Angelpunkt der Sozialdatenschutzgesetze ist das Sozialgeheimnis, welches den Umgang mit Sozialdaten besonders schützt. Sozialdaten sind solche personenbezogenen Daten, die von einer in § 35 des Ersten Buches Sozialgesetzbuch genannten Stelle im Hinblick auf ihre sozialgesetzlichen Aufgaben verarbeitet werden (§ 67 Absatz 2 Satz 1 Zehntes Buch Sozialgesetzbuch).
Die Pflegeeinrichtungen sind als Leistungserbringer lediglich der „verlängerte Arm“ der Kostenträger. Jedoch: Nach § 78 Zehntes Buch Sozialgesetzbuch sind die Pflegeeinrichtungen in dieser Funktion verpflichtet, die Daten, welche ihnen von einer in § 35 Erstes Buch Sozialgesetzbuch benannten Stelle befugt übermittelt worden sind, nur zu dem übermittelten Zweck zu verwenden[1].
Darüber hinaus haben die Pflegeeinrichtungen die übermittelten Sozialdaten in demselben Umfang geheim zu halten wie die in § 35 Erstes Buch Sozialgesetzbuch genannten Stellen. Dies gilt für öffentlich-rechtlich organisierte Einrichtungen gleichermaßen wie für Private. Die Pflegeeinrichtungen sind somit auch verpflichtet, die bei ihnen beschäftigten Personen, welche die geschützten Sozialdaten verarbeiten, auf die Einhaltung dieser Pflichten hinzuweisen.
Wenn Pflegeeinrichtungen in ihrer Eigenschaft als Leistungserbringer Aufgaben der Pflege- bzw. Krankenkassen erfüllen, müssen sie die besonderen Bestimmungen der jeweiligen Sozialdatenschutzgesetze beachten: Im Bereich der gesetzlichen Pflegeversicherung regeln §§ 104 ff. des Elften Buches Sozialgesetzbuch, welche Daten die Pflegeeinrichtungen berechtigt bzw. verpflichtet sind, an die Pflegekassen zu übermitteln. Die Vorschriften der §§ 294 ff. des Fünften Buches Sozialgesetzbuch regeln dies wiederum für den Bereich der gesetzlichen Krankenversicherung.
[1] § 78 Zehntes Buch Sozialgesetzbuch regelt seit dem 25.5.2018 zwar nur die konkret benannten Verarbeitungsvorgänge der Speicherung, Veränderung, Nutzung, Übermittlung, Einschränkung der Verarbeitung und Löschung; Nach Artikel 5 Absatz 1 Buchstabe b Datenschutz-Grundverordnung gilt die Zweckbindung aber auch für die weiteren in Artikel 4 Nummer 2 Datenschutz-Grundverordnung genannten Verarbeitungsvorgänge.
Ändern sich im Bereich der Pflege durch die Datenschutz-Grundverordnung wesentliche Grundsätze der allgemeinen Datenschutzgesetze?
Nein. Die wesentlichen Grundsätze zum Datenschutz, welche die bisher geltenden Datenschutzgesetze enthielten, finden sich in ähnlicher Weise auch in der Datenschutz-Grundverordnung wieder. Insbesondere gilt weiterhin der zentrale Grundsatz des „Verbots mit Erlaubnisvorbehalt“; danach ist eine Verarbeitung personenbezogener Daten nur dann zulässig, wenn eine Rechtsvorschrift die Verarbeitung erlaubt oder die betroffene Person hierzu ihre Einwilligung erteilt hat (Artikel 6 i.V.m. Artikel 9 Datenschutz-Grundverordnung).
Verarbeiten Pflegeeinrichtungen einfache personenbezogene Daten, welche keine Sozialdaten sind[1], so müssen sie neben der Datenschutz-Grundverordnung die allgemeinen Datenschutzgesetze, mithin das Bundesdatenschutzgesetz sowie das baden-württembergische Landesdatenschutzgesetz beachten. Das Bundesdatenschutzgesetz wurde bereits an die Datenschutz-Grundverordnung angepasst und ersetzt seit dem 25. Mai 2018 das Bundesdatenschutzgesetz der alten Fassung[2]. Eine Neufassung des baden-württembergischen Landesdatenschutzgesetzes ist am 21. Juni 2018 in Kraft getreten.[3]
Im Rahmen unserer Tätigkeit als Landesbeauftragter für den Datenschutz und die Informationsfreiheit stellen wir – auch in Pflegeeinrichtungen – regelmäßig fest, dass dort auch die bisher geltenden Datenschutzgesetze nur unzureichend bekannt sind bzw. beachtet wurden. So waren beispielsweise die meisten Pflegeeinrichtungen schon nach der alten Rechtslage verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, ein Verfahrensverzeichnis zu führen oder Datenpannen unverzüglich der Aufsichtsbehörde zu melden. Dies wird zukünftig an den durchaus strengeren Vorgaben der Datenschutz-Grundverordnung gemessen werden.
[1] zum Begriff der Sozialdaten siehe FAQ Nr. 23
[2] Gesetzestext der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=celex%3A32016R0679
[3] Gesetzestext des neuen baden-württembergischen Landesdatenschutzgesetzes abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/06/LDSG-neu-GBl-2018173.pdf
Wie wirkt sich die Datenschutz-Grundverordnung auf die Sozialdatenschutzgesetze aus?
Mit der Änderung der Vorschriften des Zehnten Buches Sozialgesetzbuch hat der deutsche Gesetzgeber bereits die allgemeinen Regelungen des Sozialdatenschutz, also insbesondere § 35 Ersten Buches Sozialgesetzbuch sowie §§ 67 ff. Zehntes Buches Sozialgesetzbuch an die Datenschutz-Grundverordnung angepasst. [1] Bei diesen Änderungen handelt es sich im Wesentlichen um redaktionelle Anpassungen an die Datenschutz-Grundverordnung: Die insoweit bisher geltenden Regelungen hat der Gesetzgeber beibehalten mit dem Ziel, deren hohes Schutzniveau und den insoweit funktionierenden Regelungsrahmen beizubehalten.[2]
Für die Vorschriften des besonderen, sog. bereichsspezifischen Sozialdatenschutzes, lässt sich diese Frage derzeit noch nicht beantworten, da sowohl das Fünfte Buch Sozialgesetzbuch (gesetzliche Krankenversicherung) als auch das Elfte Buch Sozialgesetzbuch (Pflegeversicherung) bislang noch nicht an die Datenschutz-Grundverordnung angepasst worden sind.[3] Die Datenschutz-Grundverordnung eröffnet den Mitgliedstaaten an verschiedenen Stellen in Form von sog. Öffnungsklauseln die Möglichkeit, von den in der Datenschutz-Grundverordnung enthaltenen Regelungen abzuweichen; dies kann bedeuten, dass der Gesetzgeber in diesem Bereich ergänzende, erweiternde oder beschränkende Regelungen erlässt.
Solange also das Fünfte Buch Sozialgesetzbuch und das Elfte Buch Sozialgesetzbuch noch nicht angepasst sind, steht noch nicht fest, ob der Bundesgesetzgeber, soweit die Verarbeitung von Sozialdaten betroffen ist, von der Möglichkeit spezielle mitgliedsstaatliche Rechtsvorschriften zu erlassen, Gebrauch machen wird.
[1] Dies geschah durch Artikel 19 und 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes.
[2] Näheres hierzu in „Sozialdatenschutz – europäisch?“ von Freund/Shagdar in SGb Ausgabe 04/2018 S. 199.
[3] Anpassungen dieser Gesetze sollen im Rahmen eines Zweiten Datenschutzanpassungs- und Umsetzungsgesetz EU erfolgen und waren für den Beginn der 19. Legislaturperiode angekündigt (Stand: 20.6.2018).
Welche konkreten Neuerungen bringt die Datenschutz-Grundverordnung für Pflegeeinrichtungen?
Tatsächliche Neuerungen im Vergleich zur bisherigen Rechtslage, welche die Pflegeeinrichtungen beachten müssen, sind beispielsweise Folgende:
Kommt es zu einer Datenpanne, so muss der Verantwortliche binnen 72 Stunden der zuständigen Aufsichtsbehörde den Vorfall melden (Artikel 33 Datenschutzgrundverordnung, § 65 Bundesdatenschutzgesetz, § 83a des Zehnten Buches Sozialgesetzbuch). Nach bisherigem Recht war der Vorfall „unverzüglich“ zu melden, wobei die Rechtsprechung einen Zeitraum von zwei Wochen als Obergrenze für unverzügliches Handeln noch als angemessen betrachtete[1].
Der Begriff der Gesundheitsdaten wird im Vergleich zur bisherigen Rechtslage gesondert definiert und erweitert. Nach Artikel 4 Nr. 15 Datenschutz-Grundverordnung sind Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Der Wortlaut unterscheidet nicht danach, in welcher konkreten Situation diese Daten verwendet werden. Werden Gesundheitsdaten aufgrund einer Einwilligung erhoben, so muss sich die Einwilligung nunmehr ausdrücklich darauf beziehen, dass es sich um Gesundheitsdaten handelt.
Die Datenschutz-Grundverordnung sieht die Umkehr der Beweislast vor, so dass die Verantwortlichen im Streitfall künftig selbst einen datenschutzkonformen Umgang nachweisen müssen (Artikel 5 Absatz 2 Datenschutz-Grundverordnung).
Nach Artikel 35 der Datenschutz-Grundverordnung ist stets eine sogenannte Datenschutz-Folgenabschätzung notwendig, wenn ein Verantwortlicher in umfangreicher Weise Gesundheitsdaten verarbeitet. Die Datenverarbeitung bei Verantwortlichen ist allein aufgrund der Pflicht, für jede betroffene Person eine Pflegedokumentation zu führen, welche eine Vielzahl medizinischer Daten und somit Gesundheitsdaten enthält, umfangreich.
Die Bußgeldrahmen werden durch die Datenschutz-Grundverordnung massiv erhöht. Sie betragen im Gegensatz zur bisherigen Obergrenze von 300.000 EUR nunmehr bis zu 20 Millionen EUR oder bis zu 4 Prozent vom Jahresumsatz, je nachdem welcher Wert höher ist.
[1] BGH, Urteil vom 24. Januar 2008 – VII ZR 17/07, Rn. 18
Fragen Sie nach und wir bringen Licht ins Dunkel.